Windows Server 2008 R2远程访问方案

使用 IKEv2 和 VPN 重新连接的 IPsec 隧道模式

Windows Server 2008 R2 中的 RRAS 与 Windows 7 客户端共同支持新的隧道协议：使用 Internet 密钥交换版本 2 (IKEv2) 的 IPsec 隧道模式。通过当用户临时失去 Internet 连接时自动重建连接的方式，该模式使 VPN 连接更加可靠，特别是当客户端计算机更改其 IP 地址时。当使用无线移动连接时，这种情况会经常发生。对于传统的 VPN，用户需要在重新连接到 Internet 后手动重新连接 VPN，但借助 VPN 重新连接，可自动重新连接 VPN，无需用户执行任何操作。

部署采用 IKEv2 和 VPN 重新连接的 IPsec 隧道模式的典型步骤如下所示：

　　1.配置 EAP 或部署 PKI，至少应具有一个证书颁发机构 (CA)。大型机构通常会采用两级或三级 CA 层次结构，而小型机构可使用一个 CA 作为根 CA 以及发行 CA。

　　2.使用两个 NIC 配置 VPN 服务器，一个用于外部网络，另一个用于内部网络。

　　3.在 VPN 服务器上安装根 CA 证书。

　　4.请求服务器身份验证证书并将其安装在 VPN 服务器上(该证书带有服务器身份验证和 IP 安全性 IKE 中间扩展密钥使用选项)，同时确保该证书位于计算机存储区中。

　　5.在 VPN 服务器上安装 RRAS 角色。

　　6.如果 VPN 服务器还作为网络策略服务器使用，需要安装 NPS 角色。

　　7.配置 RRAS，使该服务器成为 VPN 服务器。

　　8.配置网络策略服务器，以启用和配置 IKEv2 VPN 连接的远程访问策略(注意，如果使用基于 EAP 的身份验证，则需要配置 NPS。如果使用计算机证书身份验证，则不需要配置 NPS)。

要配置 Windows 7 客户端，需要首先使用网络和共享中心的“设置新的连接或网络”向导来创建 VPN connectoid。创建 connectoid 之后，可在网络和共享中心的左窗格中单击“更改适配器设置”、右键单击该 VPN 连接并选择“属性”，从而找到该 connectoid。在“安全性”选项卡中，需要从“VPN 类型”的下拉菜单中选择 IKEv2。您可以使用任意支持的数据加密类型。对于身份验证，您可以使用 EAP 或 X.509 计算机证书。然后单击“高级设置”，并确保选中了“移动性”复选框。VPN 重新连接支持 IPv4 或 IPv6。